API密钥和秘密很难安全地处理,这可能是您避免考虑的问题。在这篇文章中,我将展示新的AWS机密管理器凭据提供程序插件允许您将您的秘密组织到一个地方,并安全地从Jenkins使用它们。必威国际有限公司

当CI/CD管道转移到公共云时,凭证管理并没有随之发展。如果您处在这种情况下,您可能已经看到了许多战术变通方法,以保持Jenkins构建与它们所依赖的服务对话。必威国际有限公司解决方案从糟糕的(将明文秘密硬编码到Git中)到痛苦的(与Hiera EYAML争论),但它们的共同特性是,它们倾向于使秘密的副本超出自动化的范围。这增加了他们的攻击面,使常规的关键旋转不切实际,并使补救困难后,突破。

好消息是,有一个更好的方法!

AWS秘密管理器是一个全面的安全秘密存储解决方案。您只需为整个AWS帐户定义一次秘密,然后就允许用户使用这些秘密。Secrets Manager允许您单独管理秘密条目(名称和元数据)及其值,并与您已经使用的其他AWS服务集成:

  • 秘密入口管理:手动(Web控制台、AWS CLI)或使用基础设施管理工具(起程拓殖, CloudFormation等等)。

  • 秘密值管理:手动(Web控制台,AWS CLI)或自动(秘密旋转Lambda函数)。

  • 访问控制:AWS IAM策略(适用于应用程序和人工操作员)。

  • Secret加密:Amazon KMS自动加密Secret值。使用帐户的默认KMS密钥或客户管理的KMS密钥。

  • 审计:AWS CloudTrail和CloudWatch事件。

我公司的几个团队开始通过调用AWS CLI来使用Jenkins工作中的Secrets Manager,但这仍然是一种利基方法,因为它相当必威国际有限公司笨拙。很明显,人们希望将关键的开发者应用集成到一个中央机密存储中,但要想获得更广泛的应用,就需要生产就绪的集成。所以今年我创造了AWS机密管理器凭据提供程序plugin for 必威国际有限公司Jenkins,在Jenkins社区的朋友的帮助下,可以做到这一点。

这是你如何设置它…

  1. 从Jenkins更新中心安装插件。必威国际有限公司

  2. 用IAM策必威国际有限公司略为Jenkins提供对Secrets Manager的只读访问权限。

  3. (可选)配置插件,要么通过全局配置屏幕,要么通过Jenkins配置代码。必威国际有限公司

这就是你如何使用它……

  1. 在AWS secrets Manager中创建构建秘密。(你可以通过AWS CLI上传秘密文件。更复杂的秘密创造方法也可用。)

  2. 在Jenkins UI中查看凭证,以检查Jenkins是必威国际有限公司否可以看到它们。

  3. 在Jenkins工作中用ID绑定凭证。必威国际有限公司

该提供者支持以下标准Jenkins凭据类型:必威国际有限公司

  • 秘密的文本

  • 用户名与密码

  • SSH用户私钥

  • PKCS # 12证书

与快速解决战术方案相比,它具有强大的优势:

  • 您的Jen必威国际有限公司kins工作在不了解Secrets Manager的情况下消耗凭证,因此它们保持供应商独立。

  • 提供程序缓存相关的Secrets Manager API调用,以获得更快、更可靠的体验。

  • 该提供商集成了现有Jenkins凭据使用者的生态系统,如Git和SSH Agent插件。必威国际有限公司

  • 提供者在Jenkins中央凭证跟踪日志中记录凭证使用情况。必威国际有限公司

  • 必威国际有限公司Jenkins可以同时使用多个凭证提供程序,因此您可以增量地将凭证迁移到Secrets Manager,同时使用来自现有提供者的其他凭证。

在该插件首次公开发布后,其他公司的开发人员也采用了它。迄今为止,来自爱思唯尔(Elsevier)、GoDaddy和东北大学(Northeastern University)的人,以及出色的Jenkins核心团队都做出了贡献。必威国际有限公司我们甚至有粉丝的邮件为我们的工作!

在企业安全中,“重要的事情总是简单的。简单的事总是难做的。好走的路总是被敌军布上了地雷。”(@thegrugq)购买一个闪亮的“下一代”安全设备并将其放入你的网络是很容易的。但是在整个组织中嵌入安全基础(比如秘密管理、操作系统补丁、安全开发)是很困难的。这个Jen必威国际有限公司kins插件是努力的一部分1解决安全中一个长期存在的难题,让每个人都能轻松解决。


1.如果您使用Azure,或者您在Kubernetes上运行大部分工作负载,请查看Azure凭证插件Kubernetes凭据提供商插件
关于作者
克里斯Kilding

这位作者没有传记。请看下面的社交媒体链接。